L’Intelligenza Artificiale si espande a macchia d’olio all’interno delle aziende, di tutti i settori. Le sue potenzialità sono innegabili ma, purtroppo, dietro questa rivoluzionaria tecnologia, si celano numerose minacce.
Mentre l’IA generativa continua a catturare l’attenzione globale, gli attori delle minacce sono pronti a sfruttare le capacità e la popolarità dell’IA. Dalle truffe deepfake agli attacchi di impersonificazione, la crescente fiducia nelle piattaforme alimentate dall’IA ha creato nuove possibilità per i criminali informatici. All’inizio del 2025, Check Point Research ha iniziato a tracciare una sofisticata campagna di minacce che ha sfruttato questa tendenza, in particolare impersonando Kling AI, uno strumento di sintesi di immagini e video ampiamente utilizzato da oltre 6 milioni di utenti.
Questa campagna, propagata attraverso falsi annunci pubblicitari su Facebook e pagine spoofed, indirizzava gli utenti verso un sito web contraffatto, progettato per fornire un payload malevolo.
L’attacco inizia con falsi annunci sui social media
Dall’inizio del 2025, il team di Check Point Research ha identificato circa 70 post sponsorizzati, che promuovono in maniera non autentica il popolare strumento di intelligenza artificiale Kling AI. Questi annunci provengono da pagine Facebook convincenti ma fraudolente, progettate per assomigliare alla vera azienda.
Facendo clic su uno di questi annunci si accede a un sito web fasullo che imita fedelmente l’interfaccia reale di Kling AI. Proprio come lo strumento reale, il sito invita gli utenti a caricare immagini e a cliccare su un pulsante “Genera” per vedere i risultati ottenuti. Il sito però, invece di fornire un’immagine o un video, offre un download che sembra essere un file di archivio contenente un nuovo file multimediale generato dall’IA.
Il file scaricato ha l’aspetto di un’immagine innocua, con un nome come Generated_Image_2025.jpg e persino un’icona familiare. Tuttavia, gli esperti di Check Point spiegano che dietro questo aspetto apparentemente innocuo si nasconde qualcosa di pericoloso: il file è un programma mascherato destinato a compromettere il sistema dell’utente. Questa tecnica, nota come mascheramento del nome del file, è una tattica comunemente utilizzata dagli attori delle minacce per ingannare gli utenti e indurli ad avviare un software dannoso.
Una volta aperto, il programma si installa silenziosamente, assicurandosi di potersi riavviare automaticamente a ogni accensione del computer. Inoltre, controlla se ci sono segnali che indicano che viene osservato o analizzato dagli strumenti di sicurezza informatica e cerca di evitare il rilevamento.
Fase 2: acquisizione silenziosa con strumenti di accesso remoto
Dopo l’apertura del file falso, viene attivata una seconda minaccia più grave. Questa fase installa un Trojan ad accesso remoto (RAT), un malware che consente agli aggressori di prendere il controllo del computer della vittima a distanza.
Ogni versione di questo strumento è leggermente modificata per evitare il rilevamento, ma tutte includono un file di configurazione nascosto che si collega al server degli aggressori. Questi file contengono anche nomi di campagne come “Kling AI 25/03/2025” o “Kling AI Test Startup”, che suggeriscono test e aggiornamenti continui da parte degli attori della minaccia.
Una volta installato, il malware inizia a monitorare il sistema, in particolare i browser web e le estensioni che memorizzano password o altri dati sensibili, consentendo agli aggressori di rubare informazioni personali e mantenere un accesso a lungo termine.
Anche se l’identità esatta degli aggressori rimane sconosciuta, le prove suggeriscono un collegamento con gli attori vietnamiti delle minacce. Le truffe e le campagne di malware basate su Facebook sono una tattica nota tra i gruppi della regione, in particolare quelli che mirano a rubare dati personali.
L’analisi di Check Point ha rivelato diversi indizi che puntano in quella direzione. Campagne simili incentrate su strumenti di intelligenza artificiale hanno già contenuti in lingua vietnamita nel codice del malware. Coerentemente con questo schema, anche in quest’ultima campagna sono stati trovati diversi riferimenti, come i messaggi di debug, in quella lingua.
Questi risultati sono in linea con le tendenze più ampie osservate da altri ricercatori di sicurezza che hanno indagato su analoghe iniziative di malvertising di Facebook.
Difendersi delle nuove minacce a tema AI: i consigli di Check Point
Con la crescente popolarità degli strumenti di intelligenza artificiale generativa, i criminali informatici stanno trovando nuovi modi per sfruttare questa fiducia. Questa campagna analizzata da Check Point, che ha impersonato Kling AI attraverso annunci falsi e siti web ingannevoli, dimostra come i criminali informatici stiano combinando l’ingegneria sociale con il malware avanzato per ottenere l’accesso ai sistemi e ai dati personali degli utenti. Con tattiche che vanno dal mascheramento di file all’accesso remoto e al furto di dati, e con indizi che puntano a gruppi di minaccia vietnamiti, questa operazione si inserisce in una tendenza più ampia di attacchi sempre più mirati e sofisticati basati sui social media.
Per aiutare le aziende a rimanere protette, Check Point Threat Emulation e Harmony Endpoint offrono una copertura completa per quanto riguarda i metodi di attacco, i tipi di file e i sistemi operativi, bloccando efficacemente le minacce sopra descritte. Come sempre, il rilevamento proattivo delle minacce e la consapevolezza degli utenti rimangono essenziali per difendersi dalle minacce informatiche in continua evoluzione.
